为 Office 365 配置 SAML SSO

这些步骤将指导您完成 ADSelfService Plus 和 Office 365 之间的单点登录功能设置。

链接Office 365和本地Active Directory用户帐户

  1. 使用Azure AD Connect

    • 将GUID设为sourceAnchor:如果您有Azure AD Connect,则使用它将Office 365中的sourceAnchor属性更新为AD的GUID属性值。
    • 将其他唯一AD属性设为sourceAnchor:如果您已为sourceAnchor属性指派了GUID以外的不同属性值,请在ADSelfService Plus中使用账户链接选项将其映射到Active Directory中的对应属性。

  2. 使用第三方GUID到ImmutableID转换工具

    • 将GUID转换为ImmutableID:如果您没有Azure AD Connect,则可以下载第三方“GUID到ImmutableID转换器”工具。使用该工具将每个用户的GUID值转换为ImmutableID值,并在Office 365中更新它们。
    • 更新Office 365中的ImmutableID值:一旦转换了GUID到ImmutableID,您需要使用以下给定的PowerShell命令为每个用户更新Office 365中的值。
      为新用户创建时更新ImmutableID属性的命令

      $cred = Get-Credential
      Connect-MsolService -Credential $cred
      New-MsolUser -UserPrincipalName "user01@mycompany.com" -ImmutableId "<immutable_id>" -DisplayName "user 01" -FirstName "user" -LastName "01" -LicenseAssignment "<service_pack>" -UsageLocation "<location>"

      注意:您可以使用此命令检查更新是否成功:Get-MsolUser -All | select userprincipalname,ImmutableId
      为现有用户更新ImmutableID属性的命令

      Set-Msoluser -UserPrincipalName "<user_mailID>" -ImmutableID “<immutable_id&gt ”

前提条件

  1. 以管理员身份登录到ADSelfService Plus。

  2. 导航到 配置 → 自助服务 → 密码同步/单点登录 → 添加应用程序,并从显示的应用程序中选择Office 365
    注意:您也可以从左侧窗格的搜索栏或右侧窗格的字母导航选项中找到您需要的Office 365应用程序。
  3. 点击屏幕右上角的IdP详情

  4. 在出现的弹出窗口中,复制登录URL并通过点击下载SSO证书进行下载。

    5. Screenshot

Office 365(服务提供商)配置步骤

  1. 以管理员权限打开Powershell。

  2. 输入以下命令。在出现的弹出窗口中,输入Office 365管理员账户的用户名和密码。

    $cred = Get-Credential

  3. 使用以下命令连接MsolService。

    Connect-MsolService -Credential $cred
    Get-MsolDomain

    此命令将显示域列表。

  4. 输入您想启用SSO的域。

    $dom = "mycompany.com"

输入先决条件步骤 5 中的登录 URL 值,用于 $url 和 $uri 命令,以及用于 $logouturl 命令的注销 URL 值。

$url = "<登录 URL 值>"
例如,$url = "https://selfservice.com:9251/iamapps/ssologin/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"
$uri = "<登录 URL 值>"
例如,$uri = "https://selfservice.com:9251/iamapps/ssologin/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"
$logouturl = "<注销 URL 值>"
例如,$logouturl = "https://selfservice.com:9251/iamapps/ssologout/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"

  • 现在复制 SSO 证书文件内容(来自先决条件步骤 5)并粘贴为以下命令的值。

    重要:

    请编辑文件,以确保在复制内容之前没有任何换行。

    $cert = "MIICqjCCAhOgAwIBAgIJAN..........dTOjFfqqA="


    截图

  • 运行以下命令以在 Office 365 中启用 SSO。

    Set-MsolDomainAuthentication -DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP

  • 要测试配置,请使用以下命令。

    Get-MSolDomainFederationSettings -DomainName "mycompany.com" | Format-List *


    截图

  • 重新配置或更新 SSO 设置:如果您已经使用其他身份提供商为 Office 365 使用 SSO,或希望更新 ADSelfService Plus SSO 设置,则必须首先在 Office 365 中禁用 SSO,然后遵循本指南中的步骤。要在 Office 365 中禁用 SSO,请使用以下命令:

    $dom = "mycompany.com"
    Set-MsolDomainAuthentication -DomainName $dom -FederationBrandName $dom -Authentication Managed

    • ADSelfService Plus(身份提供商)配置步骤

    1. 现在,切换到 ADSelfService Plus 的 Office 365 配置页面
    2. 输入应用程序名称描述
    3. 域名字段中,输入您在 Office 365 配置步骤 4 中使用的域名。
    4. 分配政策字段中,选择需要启用 SSO 的政策。
      注意:ADSelfService Plus 允许您为您的 AD 域创建基于 OU 和组的政策。要创建政策,请转到 配置 → 自助服务 → 政策配置 → 添加新政策
    5. 选择启用单一登录
    6. 点击添加应用程序
    注意:对于 Office 365,支持 SP 和 IdP 启动的单一登录流程。
    回到顶部

    谢谢!

    您的请求已提交给 ADSelfService Plus 技术支持团队。我们的技术支持人员将尽快协助您。

     

    需要技术援助吗?

    • 输入您的电子邮件ID
    • 与专家交谈
    •  
    •  
      点击'与专家交谈',即表示您同意根据隐私政策处理个人数据。

    版权所有 © 2024卓豪(中国)技术有限公司,保留所有权利。